CP Felipe Alberto Pérez Hernández. Colaborador de Auditool
Identificar, evaluar y responder al riesgo de cada cliente en particular, es crucial para una auditoría de calidad. Como resultado de la evaluación del riesgo, determinamos la naturaleza, extensión y oportunidad tanto de las pruebas sustantivas como las de control que nos llevan a obtener la evidencia suficiente y apropiada para soportar la opinión. Es más, podríamos llegar a concluir que el cliente no es auditable.
Todo esto sin contar con la obligación que tiene el auditor independiente de cumplir con dos normas internacionales que se lo exigen:
- NIA 315: Identificación y Evaluación de los Riesgos de Incorrección Material a través de la Comprensión de la Entidad y su Entorno
- NIA 330: Efectuar Procedimientos de Auditoría en Respuesta a Riesgos Evaluados y Evaluar la Evidencia de Auditoría Obtenida.
Primero, se debe conocer al cliente, su negocio, su entorno, saber qué lo afecta, cuáles son las principales amenazas a las que está expuesto, para así identificar los riesgos y evaluarlos con el fin de determinar si pueden generar errores significativos en los estados financieros (NIA 315).
Una vez identificados y evaluados los riesgos diseñamos nuestros procedimientos y pruebas en respuesta a esa evaluación, ¿para qué? Para obtener una evidencia suficiente y apropiada (NIA 330).
He ahí la importancia de evaluar el Riesgo de Auditoría.
El modelo de Riesgo de auditoría
El riesgo de auditoría, es el riesgo que corre la firma de expresar una opinión errónea por cuanto los estados financieros contienen incorrecciones materiales. El objetivo como auditores es reducir este riesgo a un nivel bajo aceptable.
El Riesgo de Auditoría está compuesto por:
Riesgo Inherente: Es el riesgo que conlleva cada actividad por sí misma en ausencia de controles. Representa la posibilidad de que una afirmación sobre una transacción, saldo contable o una revelación de información contenga errores materiales.
Riesgo de Control: Riesgo de que los controles establecidos por el cliente no prevengan ni detecten una incorrección significativa.
Riesgo de Detección: Es el riesgo de que un auditor no encuentre errores materiales.
La combinación del riesgo inherente y el riesgo de control conforman el Riesgo de Incorrección Material (RMM por sus siglas en inglés).
Así que podemos expresar el modelo de riesgo de auditoría en la siguiente fórmula:
Tomado de:https://blog.aicpa.org/
Riesgo de Auditoría= RMM x Riesgo de Detección
El RMM existe independientemente del auditor y no puede ser reducido a través de pruebas sustantivas como pueden apreciar, no depende del auditor. Entonces, reducir el Riesgo de Auditoría a un nivel bajo, depende del Riesgo de Detección solo puede ser manejado por el auditor.
El Riesgo de Detección está influenciado por la naturaleza, oportunidad y extensión de los procedimientos de auditoría. Por ejemplo, si un auditor quiere reducir su Riesgo de Detección podría:
- Aumentar la extensión de los procedimientos seleccionando una muestra más grande.
- Cambiar la naturaleza de la prueba, en lugar de revisiones analíticas, examinar los documentos físicos que se requieran.
- Alternar la oportunidad de los procedimientos.
Si en primera instancia no se evalúan apropiadamente el Riesgo Inherente y el Riesgo de Control, el auditor no tendría las bases para evaluar el Riesgo de Detección y de ninguna manera planear la naturaleza, oportunidad y extensión de los procedimientos.No importa la cantidad de pruebas que realice, si no identifica y evalúa los riesgos específicos de su cliente el auditor no estará cumpliendo con las Normas de Auditoría Generalmente Aceptadas (GAAS por sus siglas en inglés).
4 Consejos para identificar los riesgos de auditoría del cliente
Los consejos que encontrarán a continuación apuntan a la identificación y evaluación de los riesgos y los controles del cliente para llevar a cabo una auditoría de calidad.
- No le dé miedo preguntar
Es preciso identificar los riesgos específicos de un cliente en particular, por lo tanto debemos conocer bien la entidad misma, esto implica hacer muchas preguntas, especialmente si es un cliente de primera vez. Preguntar y preguntar, observar al cliente, entender su entorno y cómo lo afecta, para asi poder detectar los riesgos.
De igual manera para planear la auditoría de un proceso específico o de un área determinada debemos conocer bien su funcionamiento, por lo que no debemos ser tímidos y hacer todas las preguntas necesarias que nos permitan apropiarnos del tema y en consecuencia diseñar los procedimientos de auditoría adecuados.
- Conozca el sector económico de sus clientes y sus ciclos transaccionales
Una vez entendida la organización como tal, también es importante conocer su industria. Las organizaciones de cada industria o sector económico suelen tener características similares en sus ciclos operacionales y riesgos inherentes comunes. Por estas razones conocer la industria del cliente nos ayuda y fortalece en el diseño de programas y ejecución de la auditoría.
- Identifique los controles de su cliente
Es probable que una primera impresión de un cliente sugiera que no tiene controles o son insuficientes. Pero un control es cualquier política o procedimiento establecido por una entidad para prevenir, detectar y corregir una declaración errónea. Por lo tanto, basta con que el propietario de un negocio al examinar los resultados comunique la importancia de la calidad, para comprobar que su negocio tiene controles.
Se deben identificar los controles del cliente antes de evaluarlos, el enfoque del Comité de Organizaciones Patrocinadoras de Treadway en el Marco de Gestión de Riesgos Empresarial COSO ERM 2017 puede ayudarle al auditor en este sentido.
- Evalúe el diseño y la implementación de los controles del cliente
En cada auditoría, una vez identificados los controles del cliente se debe:
- Evaluar el diseño de los controles relevantes para la auditoría.
- Determinar si se han implementado estos controles
Hasta aquí no hemos probado lo más importante: la efectividad de los controles. Para esto debemos realizar las pruebas de cumplimiento requeridas, pero como estamos hablando de la evaluación del riesgo en auditoría, sigamos adelante.
El modelo de riesgo de auditoría: el primer paso en la evaluación del riesgo
Tomado de:https://blog.aicpa.org/
El modelo de riesgo de auditoría Riesgo de Auditoría= RMM x Riesgo de Detección es fundamental para cualquier auditoría.
El primer paso debe ser firme y seguro, así que por favor partamos de recordar que el RMM (Riesgo de Incorrección Material) corresponde a la combinación del Riesgo Inherente x Riesgo de Control.
Este Riesgo de Incorrección Material (RMM) no lo maneja ni lo controla el auditor, entonces su responsabilidad es: identificarlo y valorarlo adecuadamente. ¿Cómo lo hace? Identificando y valorando sus dos componentes: El Riesgo Inherente y el Riesgo de Control para establecer y medir el RMM que marcará el rumbo de la auditoría.
Riesgo Inherente
Entienda, conozca a su cliente y su entorno
- La Naturaleza del cliente: Conozca el negocio, cómo opera el cliente, sus actividades financieras e inversión y sus informes financieros.
- Factores externos: Arriba mencionábamos de conocer la industria (el sector al que pertenece el cliente) ¿qué tan competitivo es su cliente en la industria? Medidas regulatorias en material ambiental y políticas gubernamentales ¿cómo afectan a su cliente? ¿cuál es el grado de susceptibilidad de su cliente a factores externos?, ¿cómo afectan a su cliente esos factores externos? Responda a esas preguntas.
- Estrategias de la Organización: Cómo maneja su cliente esos factores externos
- Comportamiento Financiero: El comportamiento de los indicadores financieros, estadísticas, presupuestos, análisis de variaciones, análisis de la competencia, políticas de incentivos y beneficios a los empleados.
Para cada una de estas áreas asegúrese de documentar los pasos que le tomaron conocer con suficiencia a su cliente y su negocio, así como cualquier cambio en relación con años anteriores que sean significantes en la identificación de los riesgos.
Riesgo de Control
Comprenda el sistema de control interno de su cliente
El siguiente paso en la aplicación del modelo de riesgo de auditoría es entender el control interno de su cliente. Conocer cuáles son los controles que tiene establecido, si fueron diseñados apropiadamente para cumplir con sus objetivos, si han sido implementados.
En especial asegúrese de considerar lo siguiente:
- Manejo del entorno: ¿Cuáles es la actitud de la administración frente al control interno? ¿Qué tanto énfasis pone la gerencia en pro de entregar una información financiera confiable?. El olfato agudo del auditor ayuda a saber el verdadero compromiso de la administración.
- Control de actividades: Para todas los tipos de transacciones que tengan importancia relativa, cuentas de balance, revelaciones, identificar las aseveraciones con mayor valor crítico, cómo funciona el sistema de control interno, si los controles son efectivos o no y si están implementados de forma apropiada.
- Evaluación de los riesgos del cliente, información comunicación y monitoreo: puede que las empresas más pequeñas no tengan documentado los controles o procedimientos en estas áreas, de todas maneras tienen algunos controles. Por ejemplo: si el propietario revisa sus resultados financieros mensualmente ya indica algún tipo de control.
Se recalca una vez más, documentar todo lo relacionado con el entendimiento del control interno del cliente incluyendo lo relacionado con el manejo del entorno. Documente los pasos que se tomaron para entender el control, así cualquier cambio sobre el periodo anterior y todos los riesgos identificados.
Use el RMM para direccionar el riesgo de detección
Basado en la evaluación del RMM, se determinará la naturaleza, oportunidad y extensión de los procedimientos de auditoría. Por ejemplo, si usted determina que tanto el riesgo inherente como el riesgo de control de su cliente son bajos al nivel de las aseveraciones (assertion level) podría decir que su riesgo de detección, igualmente es bajo. Por esta razón podría aplicar en forma menos rigurosa pruebas sustantivas (por ejemplo: revisiones analíticas en lugar de pruebas de detalle). Y al contrario, si los riesgos inherentes y de control de su cliente son moderados o altos, se debe extender con mayor rigor la extensión de las pruebas sustantivas, con el fin de obtener una evidencia suficiente y persuasiva frente a la afirmación como parte de la auditoría.
La clave del uso del RMM para determinar el riesgo de detección es recordar que la naturaleza, oportunidad y alcance de los procedimientos de auditoría adicionales deben ser planeados en respuesta al RMM identificado.
A mayor RMM mayor riesgo de detección y mayores pruebas sustantivas.
El modelo aquí presentado es la base para cualquier auditoría.
Artículo basado en: https://blog.aicpa.org/
CP Felipe Alberto Pérez Hernández. Colaborador de Auditool
Bogotá, Colombia